- 重要な情報
- はじめに
- 用語集
- エージェント
- インテグレーション
- OpenTelemetry
- 開発者
- API
- CoScreen
- アプリ内
- インフラストラクチャー
- アプリケーションパフォーマンス
- 継続的インテグレーション
- ログ管理
- セキュリティ
- UX モニタリング
- 管理
Agent フレアと同様に、必要なトラブルシューティング情報を 1 つのフレアコマンドで Datadog のサポートチームに送信できます。
フレアはアップロード前に確認を求めるので、Security Agent が送信する前にコンテンツを確認することができます。
以下のコマンドで、<CASE_ID>
を実際の Datadog サポートケース ID(ある場合)に置き換え、それに紐づけされているメールアドレスを入力します。
ケース ID がない場合は、Datadog へのログインに使用するメールアドレスを入力して新しいサポートケースを作成します。
プラットフォーム | コマンド |
---|---|
Docker | docker exec -it datadog-agent security-agent flare <CASE_ID> |
Kubernetes | kubectl exec -it <POD_NAME> -c security-agent -- security-agent flare <CASE_ID> |
ホスト | sudo /opt/datadog-agent/embedded/bin/security-agent flare <CASE_ID> |
security-agent
と system-probe
間の通信が期待通りに動作しているか、クラウドワークロードセキュリティがシステムイベントを検出できているかを確認するために、以下のコマンドを実行して手動でセルフテストをトリガーすることが可能です。
プラットフォーム | コマンド |
---|---|
Docker | docker exec -it datadog-agent security-agent runtime self-test |
Kubernetes | kubectl exec -it <POD_NAME> -c security-agent -- security-agent runtime self-test |
ホスト | sudo /opt/datadog-agent/embedded/bin/security-agent runtime self-test |
セルフテスト手順は、いくつかの一時ファイルとそれを監視するルールを作成し、それらのルールをトリガーにして、イベントが正しく伝搬されることを確認します。
ルールが伝搬されると、次のようなレスポンスが表示されます。
Runtime self test: OK
これで、runtime-security-agent
から来るイベントをログエクスプローラーで見ることができるようになりました。
クラウドワークロードセキュリティのネットワークベースの検出は、Linux カーネルのトラフィック制御サブシステムに依存しています。このサブシステムは、複数のベンダーが「clsact」イングレス qdisc 上のフィルターを挿入、置換、削除しようとすると、レースコンディションが発生することが知られています。以下のチェックリストに従って、クラウドワークロードセキュリティが適切に構成されていることを確認してください。
runtime_security_config.network.classifier_priority
を、ベンダーが選んだ優先度よりも厳密に低い数値に構成してください。例えば、Cilium 1.9 以下と Datadog Agent (バージョン 7.36 から 7.39.1, 7.39.2 を除く) との間には、新しいポッドを起動したときに発生する可能性のある既知の競合が存在します。この競合により、Cilium の構成によっては、ポッド内の接続が失われる可能性があります。
最終的に、Datadog Agent やサードパーティベンダーが問題の発生を防ぐように構成できない場合は、以下の手順でクラウドワークロードセキュリティのネットワークベースの検出を無効化する必要があります。
system-probe.yaml
コンフィギュレーションファイルに以下のパラメーターを追加してください。runtime_security_config:
network:
enabled: false
datadog:
securityAgent:
runtime:
network:
enabled: false
DD_RUNTIME_SECURITY_CONFIG_NETWORK_ENABLED=false